このブログを検索
この記事の内容は、個人の見解、検証の範囲のものであり、誤りがある可能性があります。
個人の責任において情報活用をお願いします。

2021年3月31日水曜日

SASE(Secure Access Service Edge)について調べる その3

 SASE(Secure Access Service Edge)について調べる その3

最近、バズワードのようになっている気がするくらい、よく目にするようになった”SASE”というワード。 前回は、SASEの定義について、確認しました。今回は、SASEで主となる4要素について、調べてみたいと思います。

SASEで主となる4要素

・SWG(クラウド提供型セキュリティゲートウェイ)← これが中心

 ・ZTNA(ゼロトラストネットワークアクセス)

 ・CASB(クラウドアクセスセキュリティブローカー)

 ・SD-WAN

上記、4つの要素となる技術、SWG、ZTNA、CASB、SD-WANの分野でガートナーがマジック・クアドラントを公開しているか確認して、それぞれのマジック・クアドラントのリーダーポジションにある企業を確認してみたいと思います。


SWG(クラウド提供型セキュリティゲートウェイ)

・Zscaler

https://www.zscaler.com/gartner-magic-quadrant-secure-web-gateways-2020

2020年発表のマジック・クアドラントでは、Zscaler1社のみがリーダーポジションになりました。ポジションを見る限りでは、Zsclalerが圧倒的です。まるで、IaaS初期のAWSみたい。。今後も楽しみですし、Zsclalerは要チェックかなと思います。

ZTNA(ゼロトラストネットワークアクセス)

まだマジック・クアドラントは存在しないようです。 Market Guideはあるようです。

CASB(クラウドアクセスセキュリティブローカー)

CASBは、4社がリーダー ポジションです。

  • Netskope
https://www.netskope.com/why-netskope/gartner-casb-magic-quadrant

  • Microsoft
https://www.microsoft.com/security/blog/2020/11/18/gartner-names-microsoft-a-leader-in-the-2020-magic-quadrant-for-cloud-access-security-brokers/

  • bitglass

https://www.bitglass.com/casb-magic-quadrant-gartner

  •  McAfee
https://www.mcafee.com/blogs/enterprise/cloud-security/mcafee-named-a-leader-in-the-2020-gartner-magic-quadrant-for-casb/

マカフィーは以下のニュースもあるので今後が気になります、、

McAfee to sell enterprise cybersecurity business in $4B deal

https://siliconangle.com/2021/03/08/mcafee-sell-enterprise-cybersecurity-business-4b-deal/

  • SD-WAN
SD-WANは6社。

VMware

https://sdwan.vmware.com/sd-wan-resources/white-papers/leader-gartner-magic-quadrant-wan-edge-infrastructure-sdwan-2020

Fortinet

https://www.fortinet.com/jp/solutions/gartner-wan-edge

Versa Networks

https://versa-networks.com/resources/reports/gartner-magic-quadrant-for-wan-edge-infrastructure-2020/

Cisco

https://blogs.cisco.com/networking/gartner-names-cisco-a-leader-in-2020-magic-quadrant-for-wan-edge-infrastructure

PaloAlto

https://blog.paloaltonetworks.com/2020/09/2020-gartner-wan-edge-infrastructure-magic-quadrant/

SilverPeak

https://www.silver-peak.com/sd-wan-edge-gartner-magic-quadrant-2020

 

SASEの主となる4つの要素において、それぞれの要素でリーダーポジションにある会社は、2020年では合計11社あります。多くの会社がSASEの要素となる製品やサービスを提供している(持っている)ことがわかりました。次回以降では、11社の中から私が特に興味のあるZsclaer、Netskope、VMwareについて、まずは調べてみたいと思います。それでは。

投稿者 時刻:
ラベル:

SASE(Secure Access Service Edge)について調べる その2


SASE(Secure Access Service Edge)について調べる その2

最近、バズワードのようになっている気がするくらい、よく目にするようになった”SASE”というワード。 そもそも、SASEの定義とは何なのでしょうか?

SASEという用語は、2019年にガートナーが定義したものです。
当時、私も流れてきたITニュースを読み、また新たな単語が出てきたな、、と思ったことを覚えています。2019年に公開された当初、ガートナーのWebサイトでSASEに関する内容を全文読めたような気がするのですが、再度読んでみようと探してみたものの当時見たような記事は見つかりませんでした。どこへたどり着けば読めるのやら、、。見つけたら再度読んでみようと思います。日本の様々な会社やブログなどでもすでにいくつものSASEに関する記事が出ており、わかりやすい記事も多いのでそれら記事を読めば良いのですが、製品やサービスに結びつくような記事もあるため、原文を再確認したかったのですが、、、。印刷して保存しておけばよかった。。

2021年3月に開催されたガートナーのネットワークに関するウェビナーがオンデマンドで視聴できるようになっていました。これが一番よさそうです。

クラウド中心のネットワーキング:新しい基準に移行する

@ITでは、ガートナーの方へのインタビュー記事もあり、そちらもわかりやすいと思います。

「SASE」(サッシー)の効果はテレワークのトラフィック改善だけではない――DX実践にも欠かせない

上記を確認すると、私の中では、SASEとは以下のようなものである、という認識になりました。

SASEとは、クラウド提供型セキュリティゲートウェイを中心として、従来のネットワーク、セキュリティに関連する様々なサービスを統合して1つのサービスとして提供するもの

SASEでは、以下の4要素がキーになるようです。
  • SWG(クラウド提供型セキュリティゲートウェイ)← これが中心
    • SWGでは以下が主要な提供機能となる
      • ZTNA(ゼロトラストネットワークアクセス)
      • CASB(クラウドアクセスセキュリティブローカー)
      • SD-WAN
ZTNAではクライアントの認証が肝になりそうです。いつでもどこでもどんな端末からでも認証、、となると、IDaaSが必須になりそうですね。

ガートナーでは現時点では、まだSASEのマジック・クアドラントを発表していませんが、要素となる技術のうち、SWG、CASB、SD-WANについては、マジック・クアドラントを公開しています。次回以降では、それぞれのマジック・クアドラントのリーダーポジションにある製品を確認してみたいと思います。それでは。
投稿者 時刻:
ラベル:

SASE(Secure Access Service Edge)について調べる その1

SASE(Secure Access Service Edge)について調べる その1

最近、バズワードのようになっている気がするくらい、よく目にするようになった”SASE”というワード。 2020年からリモートワーク中心の生活が始まると、徐々にリモートワークのネットワークやセキュリティに関する話題が増えてきたように思います。私は、企業ネットワーク全般に興味があるため、SASEにとても興味があり、勉強しておきたいと思っています。様々な会社で実施されているセミナーなどで学んではいますが、私の理解度を深めるためにも自己学習としてSASEについて調べ、メモとしてまとめてみたいと思います。以下の順で調べてみようと思います。


私がこれを実施することの目的

・SASEの定義を知る

・興味があるSASE製品を知らべる


・リモートワークと企業WANネットワークを考えてみる

2019年まではリモートワーク環境はあれば望ましいものでしたが、今では無くてはならないものに変わってしまいました。リモートワークで必須となるのが企業ネットワーク通信です。リモートから企業へのネットワーク接続といえば、IPsecなどによるVPN接続が主流だったと思います。2020年のリモートワーク対応でWAN回線やVPN機器の増強などされた企業もあったようです。しかし、最近では様々なクラウドサービスの利用が増えたことにより企業全体のトラフィックが増えたため、従来のようにデータセンターなど1箇所に企業ネットワークを集約して、そこでセキュリティをかけてインターネットへ通信させる構成が難しくなってきているようです。

クラウド利用による企業ネットワークの根本的な通信トラフィックの変更は、2020年のリモートワーク対応で明らかになったわけではなく、数年前から言われていることです。O365の普及が進みO365のトラフィックが増大して回線やデータセンターの回線設備の逼迫などが懸念されるようになりました。それを解消するため、O365の通信はデータセンターの設備を経由させずに直接ルーターからインターネットへ通信させるローカルブレークアウト(インターネットブレークアウト)が利用できるネットワーク製品が様々なメーカーからリリースされました。当初は、SD-WAN製品の目玉機能のような印象でしたが、2019年後半くらいからYAMAHAなど一般的なルーターでも対応するような状況になっています。

ローカルブレークアウトが利用できる製品の一例 

YAMAHAプレスリリース

快適なクラウドサービス使用を実現するヤマハルーターの機能拡張

アプリケーション制御ライセンス『YSL-DPI』

https://www.yamaha.com/ja/news_release/2019/19080602/

YAMAHA設定例 

アプリケーションごとに経路選択とフィルタリング(DPIを利用) :

コマンド設定例 + Web GUI設定例

https://network.yamaha.com/setting/router_firewall/internet/offload/app_control_dpi

ローカルブレークアウト(インターネットブレークアウト)を利用すれば、増大したクラウドへのトラフィックによるデータセンター回線や機器への負荷を軽減することはできそうです。しかし、以前のようにデータセンターで一括してセキュリティの管理ができないのは不便かもしれません。


そもそも、SASEの定義とは何なのか?

次回はSASEの定義について調べたいと思います。

それでは。。

投稿者 時刻:
ラベル:

ネットワークの情報収集に利用するニュースサイト

2020年から始まってすでに1年以上続くCOVID-19。こうなる前は、当分在宅勤務なんてそれほど普及しないだろうと思っていましたが、今では、リモートワークが推奨される世の中になりました。リモートワークで注目度が高くなっているのがネットワークとセキュリティかなと思います。日々の情報収集で利用しているサイトをまとめてみました。


<日本語記事サイト>

@IT

 Master of IP Network 

 https://www.atmarkit.co.jp/ait/subtop/network/

 Security & Trust 

 https://www.atmarkit.co.jp/ait/subtop/security/ 

business network.jp

 https://businessnetwork.jp/

 

特に最近よく見ている気がするのは、business network.jpです。サイトテーマが”「通信」の力でビジネスを進化させる”とある通り、ネットワーク関連記事が充実しているのでネットワークに興味がある人にはおすすめのサイトです。


<英語記事サイト>

NETWORK WORLD

 https://www.networkworld.com/

sdxcentral

 https://www.sdxcentral.com/

FIERCE TELECOM

 https://www.fiercetelecom.com/

 

英語サイトだと最近はsdxcentralが面白いような気がします。


ちょっと前まではSD-WANをよくみた気がしますが、在宅勤務が始まった昨年夏くらいから徐々にSASEをよく見かけるようになった気がします。どちらも一度ちゃんと調べてみようかと思います。それでは。

投稿者 時刻:
ラベル: ,

久々にVyOSを調べてみた

先日、ネットワークの検証をしていた時の話。。

検証時にVyOSを利用していたら、利用したい機能が

OSバージョン1.1.8では搭載されていないことが判明。

久々にVyOSのサイトをのぞきに行ったら、なんとびっくり。

サイトがだいぶ変わっとる。。。

サイトはこちら。

VyOS  

https://vyos.io/

VyOS、だいぶ変わりましたね。

今回、久々にサイトを見て知った新たな発見。。 


その1:LTS版ソフトウェア提供が有償に、、

 個人利用でも年間$660、、。私には高いわ。。

 無償は、ローリング版のみ。

 このブログ投稿時の最新は、安定版が1.2.6、ローリング版は1.4。

 検証で簡単に試すくらいならローリング版でも十分かなと思います。

   ちなみにバージョン1.1.8もまだダウンロードできるみたい。

 ローリング版が嫌な場合は、こっちのほうが良いかも。

   https://support.vyos.io/en/downloads/files/vyos-1-1-8-iso

その2:有償サポートも登場、、

 OS+サポートがセットになった年間サブスクリプションもできたのですね。

 https://vyos.io/subscriptions/support/


その3:ドキュメントが充実した気がする。。

 勘違いかもしれませんが、数年前よりも情報がかなり多くて説明が増えた気がします。

 VyOSのドキュメント

 https://docs.vyos.io/en/latest/index.html

 OS変更履歴

 https://docs.vyos.io/en/latest/changelog/index.html

 バージョン1.2以降では、ルーティングエンジンにFRRoutingを使用しているそうです。

 知らなかった。。

 VyOS KB

 https://support.vyos.io/en/kb

 設定のサンプル(ブループリント)
 https://docs.vyos.io/en/latest/configexamples/index.html


その4:当たり前ですが)バージョンアップで機能増えてる。。

 新しいバージョンだと機能も増えますよね。。

 VyOS、PPPoEサーバーやIPoEサーバーになれるのですね。知りませんでした。

 そのうち、試してみたいと思います。

 https://support.vyos.io/en/kb/articles/pppoe-server

 ロードマップも公開されてます。計画にはSD-WANも、、。

 今後も新たな機能が追加されそうですね。

 https://vyos.io/roadmap/

 

その5:フォーラムが活発。。

 わからないことを聞く、トラブル時のヒントを探るときに良さそう。。


その6:認定ができてた

 年間利用料を払ってたら試験費無料、払ってないなら$200

 どんな問題がでるのか興味はあります、、。

 https://vyos.io/certification/


まとめ

 VyOS、まだまだ人気あるのかなと思いました。

 嬉しいことにドキュメントはかなり充実した気がします。

 今回ふらっとサイトを見てみたら、

 PPPoEサーバーなど知らなかった機能を発見できてよかったです。

 開発による機能追加は続いているようなので、今後もチェックしたいと思います。


余談

 検証時やちょっとしたときにあると便利なソフトウェアルーター。

 今までとりあえずVyOSで、、と思い利用していましたが、

 VyOS以外にもソフトウェアルーターっていくつかありますよね。

 今後はVyOSだけでなく、FRRouting、SEILなど他のソフトウェアルーターも

 試してみたいと思います。

 FRRouting

https://frrouting.org/

 IIJ SEIL(有償ですけど。Amazonで売ってます。)

https://www.seil.jp/product/x86ayame.html

それでは。

投稿者 時刻:
ラベル:

vSphere 7について調べてみよう その6(HAProxyを利用したvSphere Tanzuについて)

 今回は、vSphere 7 Update1で可能となったHAProxyを使用したvSphere Tanzu

についてのお話となります。


いままでは、vSphere Tanzuを利用するにはNSX-Tが必要となっておりその分の

リソースとライセンス費用を別途用意しなくてはなりませんでした。

しかし、HAProxyを使用する場合はvCenterとESXiのみで構築が可能となります。


詳細はマニュアルをどうぞ

 https://docs.vmware.com/jp/VMware-vSphere/7.0/vmware-vsphere-with-tanzu/GUID-152BE7D2-E227-4DAA-B527-557B564D9718.html

  →vSphere with Tanzu のネットワーク

   →vSphere ネットワークと HAProxy ロード バランシングを使用して スーパーバイザー クラスタ を設定するためのシステム要件およびトポロジ


   ※なぜか、マニュアルの中のリンクをたどると表示してくれないので、pdfをダウンロードした方が良いと思います。


マニュアルの内容を簡単にですが説明すると以下のような流れになります。


1 分散仮想スイッチを作成し以下のポートグループを用意する

   ・管理用ポートグループ

   ・1つ目のワークロード用ポートグループ(スーパーバイザークラスター(SCP)で使うネットワーク)

   ・2つ目のワークロード用ポートグループ(Tanzu kubernetes Cluster(TKC)のノードで使うネットワーク)


   検証等するのであれば、管理用とワークロード用のネットワークを/24で2つ用意し、ワークロード用のネットワークは分割して使うのがいいと思います。

   ポートグループとして用意するわけではありませんが、SCPやTKCのVIPなどとなるロードバランサー用IPレンジも必要となります。

   VC1台、ESXi4台の例としては以下の様な割り振りです。

   

   管理用(192.168.1.0/24)

    VC 192.168.1.10

    ESXi1~ESXi4 192.168.1.11~192.168.1.14

    HAProxy 192.168.1.20


   ワークロード用(192.168.10.0/24)

    ロードバランサー用IPレンジ  192.168.10.144/28

    1つ目のワークロード用ポートグループ 192.168.10.160/28

    2つ目のワークロード用ポートグループ 192.168.10.192/28


    ※/28としていますが、あくまで範囲を指定するだけの用途となりサブネットが/28で設定する必要があるわけであありません。


2 コンテンツライブラリの作成を行い、TKCのノードとして使用するOVAのダウンロードをしておく


3 OVAでHAProxyをデプロイする


4 ワークロードの有効化をする


5 名前空間を作成する

   →作成時に名前空間で使用するネットワークはnetwork-2(2つ目のワークロード用ポートグループ)を指定する。


6 yamlからTKCの展開を行う


これで成功すれば構築完了です。

ですが、そのままだとPodの作成はできるものの、deploymentで展開をしようとするとエラーとなります。

実は、構築した状態ではPod Security Policy(PSP)によって作成できないようになっています(権限がない状態)。

そのため、権限の変更を行ってあげる必要がありますが、この辺の操作もすべてkubernetesの知識を元に行うことになります。


また、NSX利用時と異なる点もあります。

ワークロードの有効化をして名前空間を作成することはできますが、名前空間にyamlからPodの作成はできません。

ユーザーが利用するPodが展開できるようになるには、TKCの名前空間を利用する必要があります。


作るのも設定するのも現状はvSphere+kubernetesの知識と経験が十二分に必要な状態です。

あと、HAProxyに何か問題があったときどこの誰が対応してくれるのかについてはわからない(VMがサポートしてくれるのか不明)

という部分もあり、なかなか難しいなと思いました。

投稿者 時刻:
ラベル: , ,
登録: 投稿 (Atom)